MongoDB:数据库角色权限
1. 理解Admin数据库
新安装的MongoDB是没有账号设置,不用安全验证,任何人只要连接上服务就可以进行CRUD操作,这是非常不安全的。
所以我们需要对MongoDB进行设置账号,来控制对数据库的访问。
mongodb没有默认管理员账号,先添加管理员账号,再开启权限认证
切换到admin数据库,添加的账号才是管理员账号
管理员可以管理所有数据库,但要先在admin数据库认证后才可以管理其他数据库
MongoDB默认有一个admin数据库,admin.system.users中将会保存比在其它数据库中设置的用户权限更大的用户信息
当admin.system.users中一个用户都没有时,即使mongod启动时添加了- -auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作,直到在admin.system.users中添加了一个用户
2. 角色与权限
Mongodb的授权采用了角色授权的方法,每个角色包括一组权限
Mongodb已经定义好了的角色叫内建角色,我们也可以自定义角色
MongoDB角色有:
数据库用户角色:read、readWrite;
数据库管理角色:dbAdmin、dbOwner、userAdmin;
集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager;
备份恢复角色:backup、restore;
所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
超级用户角色:root;
内部角色:__system;
MongoDB权限:
read: 允许用户读取指定数据库
readWrite: 允许用户读写指定数据库
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,具有所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,具有所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,具有所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,具有所有数据库的userAdmin权限
dbAdminAnyDatabase:只在admin数据库中可用,具有所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限
3. 创建角色
创建普通用户:
>use foobar
>db.createUser(
{ user:"foobarUser",
pwd:"foo",
roles:[{role:"readWrite",db:”foobar”}],
}
)
创建用户管理员:
>use admin
>db.createUser(
{ user:"Useradmin",
pwd:"Userpwd",
roles:["userAdminAnyDatabase"],
}
)
创建数据库管理员:
use admin
db.createUser(
{ user:"DbUser",
pwd:"DbPwd“,roles:["readWriteAnyDatabase", "dbAdminAnyDatabase"]
}
);
查询某个数据库下的用户:
db.system.users.find()
删除指定用户:
db.dropUser(“用户名”);
用户管理员和数据库管理员区别:
用户管理员具有在admin和其他数据库创建用户账户的功能
数据库管理员账户用来管理数据库、集群、复制和MongoDB的其他方面